额外空间有几个原因。一种是用于变量的对齐。第二个是引入填充以检查堆栈(通常是调试构建而不是发布构建使用空间)。第三是有额外的空间来临时存储寄存器或编译器生成的临时变量。
在 C 调用序列中,通常完成的方式是会有一系列 push 指令将参数压入堆栈,然后使用 call 指令调用函数。call 指令将返回地址压入堆栈。
当函数返回时,调用函数将删除推送的参数。例如,对函数的调用(这是带有 C++ 程序的 Visual Studio 2005)将如下所示:
push OFFSET ?pHead@@3VPerson@@A ; pHead
call ?exterminateStartingFrom@@YAXPAVPerson@@@Z ; exterminateStartingFrom
add esp, 4
这是将变量的地址压入堆栈,调用函数(函数名在 C++ 中被修改),然后在被调用函数返回后,它通过将用于堆栈指针的字节数添加到堆栈指针来重新调整堆栈。地址。
以下是被调用函数的入口部分。这样做是在堆栈上为局部变量分配空间。请注意,在设置入口环境后,它会从堆栈中获取函数参数。
push ebp
mov ebp, esp
sub esp, 232 ; 000000e8H
push ebx
push esi
push edi
lea edi, DWORD PTR [ebp-232]
当函数返回时,它基本上将堆栈调整回调用函数时的位置。每个函数负责在返回之前清理它对堆栈所做的任何更改。
pop edi
pop esi
pop ebx
add esp, 232 ; 000000e8H
pop ebp
ret 0
您提到您正在尝试更改退货地址。从这些示例中,您可以看到返回地址位于最后一个压入堆栈的参数之后。
这是关于函数调用约定的简要说明。另请查看有关 Intel 汇编器指令的文档。
使用 Visual Studio 2005 做一些示例工作,我看到的是,如果我执行以下代码,我可以访问此示例函数的返回。
void MyFunct (unsigned short arg) {
unsigned char *retAddress = (unsigned char *)&arg;
retAddress -=4;
printf ("Return address is 0x%2.2x%2.2x%2.2x%2.2x\n", retAddress[3], retAddress[2], retAddress[1], retAddress[0]);
}
请注意,此 Windows 32 位寻址的调用汇编程序指令似乎将返回地址按字节顺序排列,其中返回地址从低字节到高字节存储。